Trojan.DownLoader38.25973

Technical Information

To ensure autorun and distribution

Modifies the following registry keys

[<HKLM>\SOFTWARE\Classes\ngm\Shell\Open\Command] '' = '"%ALLUSERSPROFILE%\Nexon\NGM\NGM64.exe" "%1"'

Modifies file system

Creates the following files

%ALLUSERSPROFILE%\nexon\ngm\ngmdll.dll.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\devtools_resources.pak
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\d3dcompiler_47.dll
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\chrome_elf.dll
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\cef_extensions.pak
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\cef_200_percent.pak
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\cef_100_percent.pak
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\cef.pak
%ALLUSERSPROFILE%\nexon\ngm\ngm_patch\202007220552\files.nfo2
%ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\df01e8e8ba8eff2297768d952f359a32_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\baefe7d5c5c3a11178aeb44b10a00329_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee
%ALLUSERSPROFILE%\mntemp
%ALLUSERSPROFILE%\nexon\ngm\ngm.log
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\icudtl.dat
%ALLUSERSPROFILE%\nexon\ngm\nugu64.dll_0.tmp
%ALLUSERSPROFILE%\nexon\ngm\crashreporter_64.dll_0.tmp
%ALLUSERSPROFILE%\nexon\ngm\crashreporter_64.dll_0.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\ngmdll64.dll_0.tmp
%ALLUSERSPROFILE%\nexon\ngm\ngmdll64.dll_0.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\ngm64.exe_0.tmp.tmp
%ALLUSERSPROFILE%\nexon\common\nl1gr.tmp
%ALLUSERSPROFILE%\nexon\common\nl1gr.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\sig.exe
%ALLUSERSPROFILE%\nexon\ngm\ngmresource.dll
%ALLUSERSPROFILE%\nexon\ngm\ngmresource.dll.gz
<Current directory>\ngm.log
%ALLUSERSPROFILE%\nexon\ngm\ngmdll.dll
%ALLUSERSPROFILE%\nexon\ngm\nugu64.dll_0.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\webview_x64\libcef.dll

Deletes the following files

%ALLUSERSPROFILE%\nexon\ngm\ngmdll.dll.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\ngmresource.dll.gz
%ALLUSERSPROFILE%\nexon\common\nl1gr.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\ngmdll64.dll_0.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\crashreporter_64.dll_0.tmp.gz
%ALLUSERSPROFILE%\nexon\ngm\nugu64.dll_0.tmp.gz
%ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\df01e8e8ba8eff2297768d952f359a32_36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee

Moves the following files

from %ALLUSERSPROFILE%\nexon\ngm\ngm64.exe_0.tmp.tmp to %ALLUSERSPROFILE%\nexon\ngm\ngm64.exe_0.tmp
from %ALLUSERSPROFILE%\nexon\ngm\ngm64.exe_0.tmp to %ALLUSERSPROFILE%\nexon\ngm\ngm64.exe
from %ALLUSERSPROFILE%\nexon\ngm\ngmdll64.dll_0.tmp to %ALLUSERSPROFILE%\nexon\ngm\ngmdll64.dll
from %ALLUSERSPROFILE%\nexon\ngm\crashreporter_64.dll_0.tmp to %ALLUSERSPROFILE%\nexon\ngm\crashreporter_64.dll
from %ALLUSERSPROFILE%\nexon\ngm\nugu64.dll_0.tmp to %ALLUSERSPROFILE%\nexon\ngm\nugu64.dll

Network activity

Connects to

'pl####rm.nexon.com':80

TCP

HTTP GET requests

http://pl####rm.nexon.com/NGM/Bin/NGMResourceKR.dll.gz
http://pl####rm.nexon.com/NGM/Bin/NEXONLv1GothicRegular.ttf.gz
http://pl####rm.nexon.com/NGM/Json/NGMUpdateInfo.json
http://pl####rm.nexon.com/NGM/Bin/NGM64.exe
http://pl####rm.nexon.com/NGM/Bin/ResourceList.txt
http://pl####rm.nexon.com/NGM/Bin/NGMDll64.dll.gz
http://pl####rm.nexon.com/NGM/Bin/CrashReporter_64.dll.gz
http://pl####rm.nexon.com/NGM/Bin/nugu64.dll.gz
http://pl####rm.nexon.com/NGM/Bin/webview_x64/files.nfo2

UDP

DNS ASK pl####rm.nexon.com

Miscellaneous

Adds a root certificate

Searches for the following windows

ClassName: 'PLUG-MSGWNDCLASS-A865A2BE-84FB-4810-A03B-EF43E781F017' WindowName: ''

Creates and executes the following

'%ALLUSERSPROFILE%\nexon\ngm\ngm64.exe' "<Full path to file>"

Рекомендации по лечению

В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

Скачать Dr.Web

По серийному номеру

Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
- загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
- после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
- выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android